Autorisations (moteur de base de données)

Chaque objet sécurisable SQL Server a des autorisations associées qui peuvent être accordées à un principal. Cette rubrique fournit les informations suivantes :

  • Conventions de noms d'autorisations

  • Autorisations relatives à des objets sécurisables spécifiques

  • Autorisations SQL Server

  • Algorithme de vérification des autorisations

  • Exemples

Conventions de noms d'autorisations

La section ci-après décrit les conventions générales qui sont suivies pour affecter des noms aux autorisations.

  • CONTROL

    Confère des fonctionnalités de type propriété au bénéficiaire de l'autorisation. Le bénéficiaire dispose effectivement de toutes les autorisations définies sur l'objet sécurisable. Un principal qui dispose de l'autorisation CONTROL peut aussi accorder des autorisations sur l'objet sécurisable. Le modèle de sécurité de SQL Server étant hiérarchique, l'autorisation CONTROL sur une portée particulière étend implicitement CONTROL à tous les objets sécurisables inclus dans cette portée. Par exemple, CONTROL sur une base de données implique toutes les autorisations sur la base de données, toutes les autorisations sur tous les assemblys de la base de données, toutes les autorisations sur tous les schémas de la base de données et toutes les autorisations sur les objets de tous les schémas de la base de données.

  • ALTER

    Confère la capacité de modifier les propriétés, excepté l'appartenance, d'un objet sécurisable particulier. Lorsque ALTER est accordé sur une portée, ALTER octroie également la capacité de modifier, de créer ou de supprimer tous les objets sécurisables contenus dans cette portée. Par exemple, l'autorisation ALTER sur un schéma inclut la capacité de créer, de modifier et de supprimer les objets du schéma.

  • ALTER ANY <Server Securable>, où Server Securable désigne n'importe quel objet sécurisable de type serveur.

    Confère la capacité de créer, de modifier ou de supprimer des instances individuelles de Server Securable. Par exemple, ALTER ANY LOGIN confère la capacité de créer, de modifier ou de supprimer n'importe quelle connexion dans l'instance.

  • ALTER ANY <Database Securable>, où Database Securable désigne n'importe quel objet sécurisable au niveau de la base de données.

    Confère la capacité de créer, de modifier ou de supprimer des instances individuelles de Database Securable. Par exemple, ALTER ANY SCHEMA confère la capacité de créer, de modifier ou de supprimer n'importe quel schéma dans la base de données.

  • TAKE OWNERSHIP

    Permet au bénéficiaire d'obtenir la propriété de l'objet sécurisable sur lequel cette autorisation est accordée.

  • IMPERSONATE <Login>

    Permet au bénéficiaire d'emprunter l'identité impliquée dans la connexion.

  • IMPERSONATE <User>

    Permet au bénéficiaire d'emprunter l'identité de l'utilisateur.

  • CREATE <Server Securable>

    Confère au bénéficiaire la capacité de créer l'objet sécurisable de type serveur ou Server Securable.

  • CREATE <Database Securable>

    Confère au bénéficiaire la capacité de créer l'objet sécurisable de type serveur ou Database Securable.

  • CREATE <Schema-contained Securable>

    Confère la capacité de créer l'objet sécurisable contenu dans le schéma. Toutefois, l'autorisation ALTER sur le schéma est requise pour créer l'objet sécurisable dans un schéma particulier.

  • VIEW DEFINITION

    Permet au bénéficiaire d'accéder aux métadonnées.

  • REFERENCES

    L'autorisation REFERENCES sur une table est obligatoire pour pouvoir créer une contrainte FOREIGN KEY qui référence cette table.

    L'autorisation REFERENCES est obligatoire sur un objet pour pouvoir créer une FONCTION ou une VUE avec la clause WITH SCHEMABINDING qui référence cet objet.

Graphique des autorisations SQL Server

Pour obtenir un graphique sous forme d'affiche de toutes les autorisations du Moteur de base de données au format PDF, consultez https://go.microsoft.com/fwlink/?LinkId=229142.

Autorisations applicables à des objets sécurisables spécifiques

Le tableau ci-dessous répertorie les principales classes d'autorisations et les types d'objets sécurisables auxquels elles peuvent s'appliquer.

Autorisation

S'applique à

SELECT

Synonymes

Tables et colonnes

Fonctions table, Transact-SQL et CLR (Common Language Runtime) et colonnes

Vues et colonnes

VIEW CHANGE TRACKING

Tables

Schémas

UPDATE

Synonymes

Tables et colonnes

Vues et colonnes

REFERENCES

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Files d'attente Service Broker

Tables et colonnes

Fonctions table (Transact-SQL et CLR) et colonnes

Types

Vues et colonnes

INSERT

Synonymes

Tables et colonnes

Vues et colonnes

DELETE

Synonymes

Tables et colonnes

Vues et colonnes

EXECUTE

Procédures (Transact-SQL et CLR)

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Synonymes

Types CLR

RECEIVE

Files d'attente Service Broker

VIEW DEFINITION

Procédures (Transact-SQL et CLR)

Files d'attente Service Broker

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Synonymes

Tables

Fonctions table (Transact-SQL et CLR)

Vues

ALTER

Procédures (Transact-SQL et CLR)

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Files d'attente Service Broker

Tables

Fonctions table (Transact-SQL et CLR)

Vues

TAKE OWNERSHIP

Procédures (Transact-SQL et CLR)

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Synonymes

Tables

Fonctions table (Transact-SQL et CLR)

Vues

CONTROL

Procédures (Transact-SQL et CLR)

Fonctions scalaires et d'agrégation (Transact-SQL et CLR)

Files d'attente Service Broker

Synonymes

Tables

Fonctions table (Transact-SQL et CLR)

Vues

Autorisations SQL Server

Le tableau ci-dessous fournit la liste complète des autorisations SQL Server.

Objet sécurisable de base

Autorisations granulaires sur les objets sécurisables de base

Code du type d'autorisation

Objet sécurisable qui contient un objet sécurisable de base

Autorisation sur l'objet sécurisable conteneur, qui implique une autorisation granulaire sur l'objet sécurisable de base

APPLICATION ROLE

ALTER

AL

BASE DE DONNÉES

ALTER ANY APPLICATION ROLE

APPLICATION ROLE

CONTROL

CL

BASE DE DONNÉES

CONTROL

APPLICATION ROLE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

ASSEMBLY

ALTER

AL

BASE DE DONNÉES

ALTER ANY ASSEMBLY

ASSEMBLY

CONTROL

CL

DATABASE

CONTROL

ASSEMBLY

REFERENCES

RF

DATABASE

REFERENCES

ASSEMBLY

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

ASSEMBLY

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

CLÉ ASYMÉTRIQUE

ALTER

AL

BASE DE DONNÉES

ALTER ANY ASYMMETRIC KEY

CLÉ ASYMÉTRIQUE

CONTROL

CL

BASE DE DONNÉES

CONTROL

CLÉ ASYMÉTRIQUE

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

CLÉ ASYMÉTRIQUE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

CLÉ ASYMÉTRIQUE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

CERTIFICAT

ALTER

AL

BASE DE DONNÉES

ALTER ANY CERTIFICATE

CERTIFICAT

CONTROL

CL

BASE DE DONNÉES

CONTROL

CERTIFICAT

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

CERTIFICAT

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

CERTIFICAT

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

CONTRACT

ALTER

AL

BASE DE DONNÉES

ALTER ANY CONTRACT

CONTRACT

CONTROL

CL

BASE DE DONNÉES

CONTROL

CONTRACT

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

CONTRACT

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

CONTRACT

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

BASE DE DONNÉES

ALTER

AL

SERVER

ALTER ANY DATABASE

BASE DE DONNÉES

ALTER ANY APPLICATION ROLE

ALAR

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY ASSEMBLY

ALAS

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY ASYMMETRIC KEY

ALAK

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY CERTIFICATE

ALCF

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY CONTRACT

ALSC

SERVER

CONTROL SERVER

DATABASE

ALTER ANY DATABASE AUDIT

ALDA

SERVER

ALTER ANY SERVER AUDIT

DATABASE

ALTER ANY DATABASE DDL TRIGGER

ALTG

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY DATABASE EVENT NOTIFICATION

ALED

SERVER

ALTER ANY EVENT NOTIFICATION

BASE DE DONNÉES

ALTER ANY DATASPACE

ALDS

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY FULLTEXT CATALOG

ALFT

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY MESSAGE TYPE

ALMT

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY REMOTE SERVICE BINDING

ALSB

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY ROLE

ALRL

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY ROUTE

ALRT

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY SCHEMA

ALSM

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY SERVICE

ALSV

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY SYMMETRIC KEY

ALSK

SERVER

CONTROL SERVER

BASE DE DONNÉES

ALTER ANY USER

ALUS

SERVER

CONTROL SERVER

BASE DE DONNÉES

AUTHENTICATE

AUTH

SERVER

AUTHENTICATE SERVER

BASE DE DONNÉES

BACKUP DATABASE

BADB

SERVER

CONTROL SERVER

BASE DE DONNÉES

BACKUP LOG

BALO

SERVER

CONTROL SERVER

BASE DE DONNÉES

CHECKPOINT

CP

SERVER

CONTROL SERVER

BASE DE DONNÉES

CONNECT

CO

SERVER

CONTROL SERVER

BASE DE DONNÉES

CONNECT REPLICATION

CORP

SERVER

CONTROL SERVER

BASE DE DONNÉES

CONTROL

CL

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE AGGREGATE

CRAG

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE ASSEMBLY

CRAS

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE ASYMMETRIC KEY

CRAK

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE CERTIFICATE

CRCF

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE CONTRACT

CRSC

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE DATABASE

CRDB

SERVER

CREATE ANY DATABASE

BASE DE DONNÉES

CREATE DATABASE DDL EVENT NOTIFICATION

CRED

SERVER

CREATE DDL EVENT NOTIFICATION

BASE DE DONNÉES

CREATE DEFAULT

CRDF

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE FULLTEXT CATALOG

CRFT

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE FUNCTION

CRFN

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE MESSAGE TYPE

CRMT

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE PROCEDURE

CRPR

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE QUEUE

CRQU

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE REMOTE SERVICE BINDING

CRSB

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE ROLE

CRRL

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE ROUTE

CRRT

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE RULE

CRRU

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE SCHEMA

CRSM

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE SERVICE

CRSV

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE SYMMETRIC KEY

CRSK

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE SYNONYM

CRSN

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE TABLE

CRTB

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE TYPE

CRTY

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE VIEW

CRVW

SERVER

CONTROL SERVER

BASE DE DONNÉES

CREATE XML SCHEMA COLLECTION

CRXS

SERVER

CONTROL SERVER

BASE DE DONNÉES

DELETE

DL

SERVER

CONTROL SERVER

BASE DE DONNÉES

EXECUTE

EX

SERVER

CONTROL SERVER

BASE DE DONNÉES

INSERT

IN

SERVER

CONTROL SERVER

BASE DE DONNÉES

REFERENCES

RF

SERVER

CONTROL SERVER

BASE DE DONNÉES

SELECT

SL

SERVER

CONTROL SERVER

BASE DE DONNÉES

SHOWPLAN

SPLN

SERVER

ALTER TRACE

BASE DE DONNÉES

SUBSCRIBE QUERY NOTIFICATIONS

SUQN

SERVER

CONTROL SERVER

BASE DE DONNÉES

TAKE OWNERSHIP

TO

SERVER

CONTROL SERVER

BASE DE DONNÉES

UPDATE

UP

SERVER

CONTROL SERVER

BASE DE DONNÉES

VIEW DATABASE STATE

VWDS

SERVER

VIEW SERVER STATE

BASE DE DONNÉES

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

POINT DE TERMINAISON

ALTER

AL

SERVER

ALTER ANY ENDPOINT

POINT DE TERMINAISON

CONNECT

CO

SERVER

CONTROL SERVER

POINT DE TERMINAISON

CONTROL

CL

SERVER

CONTROL SERVER

POINT DE TERMINAISON

TAKE OWNERSHIP

TO

SERVER

CONTROL SERVER

POINT DE TERMINAISON

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

CATALOGUE DE TEXTE INTÉGRAL

ALTER

AL

BASE DE DONNÉES

ALTER ANY FULLTEXT CATALOG

CATALOGUE DE TEXTE INTÉGRAL

CONTROL

CL

BASE DE DONNÉES

CONTROL

CATALOGUE DE TEXTE INTÉGRAL

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

CATALOGUE DE TEXTE INTÉGRAL

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

FULLTEXT CATALOG

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

FULLTEXT STOPLIST

ALTER

AL

DATABASE

ALTER ANY FULLTEXT CATALOG

FULLTEXT STOPLIST

CONTROL

CL

DATABASE

CONTROL

FULLTEXT STOPLIST

REFERENCES

RF

DATABASE

REFERENCES

FULLTEXT STOPLIST

TAKE OWNERSHIP

TO

DATABASE

CONTROL

FULLTEXT STOPLIST

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

LOGIN

ALTER

AL

SERVER

ALTER ANY LOGIN

CONNEXION

CONTROL

CL

SERVER

CONTROL SERVER

CONNEXION

IMPERSONATE

IM

SERVER

CONTROL SERVER

CONNEXION

VIEW DEFINITION

VW

SERVER

VIEW ANY DEFINITION

TYPE DE MESSAGE

ALTER

AL

BASE DE DONNÉES

ALTER ANY MESSAGE TYPE

TYPE DE MESSAGE

CONTROL

CL

BASE DE DONNÉES

CONTROL

TYPE DE MESSAGE

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

TYPE DE MESSAGE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

TYPE DE MESSAGE

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

OBJECT

ALTER

AL

SCHEMA

ALTER

OBJECT

CONTROL

CL

SCHEMA

CONTROL

OBJECT

DELETE

DL

SCHEMA

DELETE

OBJET

EXECUTE

EX

SCHÉMA

EXECUTE

OBJET

INSERT

IN

SCHÉMA

INSERT

OBJET

RECEIVE

RC

SCHÉMA

CONTROL

OBJET

REFERENCES

RF

SCHÉMA

REFERENCES

OBJET

SELECT

SL

SCHÉMA

SELECT

OBJET

TAKE OWNERSHIP

TO

SCHEMA

CONTROL

OBJECT

UPDATE

UP

SCHEMA

UPDATE

OBJECT

VIEW CHANGE TRACKING

VWCT

SCHEMA

VIEW CHANGE TRACKING

OBJECT

VIEW DEFINITION

VW

SCHEMA

VIEW DEFINITION

REMOTE SERVICE BINDING

ALTER

AL

BASE DE DONNÉES

ALTER ANY REMOTE SERVICE BINDING

LIAISONS DE SERVICE DISTANT

CONTROL

CL

BASE DE DONNÉES

CONTROL

LIAISONS DE SERVICE DISTANT

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

LIAISONS DE SERVICE DISTANT

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

RÔLE

ALTER

AL

BASE DE DONNÉES

ALTER ANY ROLE

RÔLE

CONTROL

CL

BASE DE DONNÉES

CONTROL

RÔLE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

RÔLE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

ITINÉRAIRE

ALTER

AL

BASE DE DONNÉES

ALTER ANY ROUTE

ITINÉRAIRE

CONTROL

CL

BASE DE DONNÉES

CONTROL

ITINÉRAIRE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

ITINÉRAIRE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

SCHÉMA

ALTER

AL

BASE DE DONNÉES

ALTER ANY SCHEMA

SCHEMA

CONTROL

CL

DATABASE

CONTROL

SCHEMA

DELETE

DL

DATABASE

DELETE

SCHEMA

EXECUTE

EX

DATABASE

EXECUTE

SCHÉMA

INSERT

IN

BASE DE DONNÉES

INSERT

SCHÉMA

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

SCHÉMA

SELECT

SL

BASE DE DONNÉES

SELECT

SCHÉMA

TAKE OWNERSHIP

TO

DATABASE

CONTROL

SCHEMA

UPDATE

UP

DATABASE

UPDATE

SCHEMA

VIEW CHANGE TRACKING

VWCT

DATABASE

VIEW CHANGE TRACKING

SCHEMA

VIEW DEFINITION

VW

DATABASE

VIEW DEFINITION

SERVER

ADMINISTER BULK OPERATIONS

ADBO

Non applicable

Non applicable

SERVER

ALTER ANY CONNECTION

ALCO

Non applicable

Non applicable

SERVER

ALTER ANY CREDENTIAL

ALCD

Non applicable

Non applicable

SERVER

ALTER ANY DATABASE

ALDB

Non applicable

Non applicable

SERVER

ALTER ANY ENDPOINT

ALHE

Non applicable

Non applicable

SERVER

ALTER ANY EVENT NOTIFICATION

ALES

Non applicable

Non applicable

SERVER

ALTER ANY LINKED SERVER

ALLS

Non applicable

Non applicable

SERVER

ALTER ANY LOGIN

ALLG

Non applicable

Non applicable

SERVER

ALTER ANY SERVER AUDIT

ALAA

Non applicable

Non applicable

SERVER

ALTER RESOURCES

ALRS

Non applicable

Non applicable

SERVER

ALTER SERVER STATE

ALSS

Non applicable

Non applicable

SERVER

ALTER SETTINGS

ALST

Non applicable

Non applicable

SERVER

ALTER TRACE

ALTR

Non applicable

Non applicable

SERVER

AUTHENTICATE SERVER

AUTH

Non applicable

Non applicable

SERVER

CONNECT SQL

COSQ

Non applicable

Non applicable

SERVER

CONTROL SERVER

CL

Non applicable

Non applicable

SERVER

CREATE ANY DATABASE

CRDB

Non applicable

Non applicable

SERVER

CREATE DDL EVENT NOTIFICATION

CRDE

Non applicable

Non applicable

SERVER

CREATE ENDPOINT

CRHE

Non applicable

Non applicable

SERVER

CREATE TRACE EVENT NOTIFICATION

CRTE

Non applicable

Non applicable

SERVER

EXTERNAL ACCESS ASSEMBLY

XA

Non applicable

Non applicable

SERVER

SHUTDOWN

SHDN

Non applicable

Non applicable

SERVER

UNSAFE ASSEMBLY

XU

Non applicable

Non applicable

SERVER

VIEW ANY DATABASE

VWDB

Non applicable

Non applicable

SERVER

VIEW ANY DEFINITION

VWAD

Non applicable

Non applicable

SERVER

VIEW SERVER STATE

VWSS

Non applicable

Non applicable

SERVICE

ALTER

AL

BASE DE DONNÉES

ALTER ANY SERVICE

SERVICE

CONTROL

CL

BASE DE DONNÉES

CONTROL

SERVICE

SEND

SN

BASE DE DONNÉES

CONTROL

SERVICE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

SERVICE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

CLÉ SYMÉTRIQUE

ALTER

AL

BASE DE DONNÉES

ALTER ANY SYMMETRIC KEY

CLÉ SYMÉTRIQUE

CONTROL

CL

BASE DE DONNÉES

CONTROL

CLÉ SYMÉTRIQUE

REFERENCES

RF

BASE DE DONNÉES

REFERENCES

CLÉ SYMÉTRIQUE

TAKE OWNERSHIP

TO

BASE DE DONNÉES

CONTROL

CLÉ SYMÉTRIQUE

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

TYPE

CONTROL

CL

SCHÉMA

CONTROL

TYPE

EXECUTE

EX

SCHÉMA

EXECUTE

TYPE

REFERENCES

RF

SCHÉMA

REFERENCES

TYPE

TAKE OWNERSHIP

TO

SCHÉMA

CONTROL

TYPE

VIEW DEFINITION

VW

SCHÉMA

VIEW DEFINITION

UTILISATEUR

ALTER

AL

BASE DE DONNÉES

ALTER ANY USER

UTILISATEUR

CONTROL

CL

BASE DE DONNÉES

CONTROL

UTILISATEUR

IMPERSONATE

IM

BASE DE DONNÉES

CONTROL

UTILISATEUR

VIEW DEFINITION

VW

BASE DE DONNÉES

VIEW DEFINITION

COLLECTION DE SCHÉMAS XML

ALTER

AL

SCHÉMA

ALTER

COLLECTION DE SCHÉMAS XML

CONTROL

CL

SCHÉMA

CONTROL

COLLECTION DE SCHÉMAS XML

EXECUTE

EX

SCHÉMA

EXECUTE

COLLECTION DE SCHÉMAS XML

REFERENCES

RF

SCHÉMA

REFERENCES

COLLECTION DE SCHÉMAS XML

TAKE OWNERSHIP

TO

SCHÉMA

CONTROL

XML SCHEMA COLLECTION

VIEW DEFINITION

VW

SCHEMA

VIEW DEFINITION

Synthèse sur l'algorithme de vérification des autorisations

La vérification des autorisations peut être complexe. L'algorithme de vérification des autorisations englobe les membres de groupes qui se chevauchent et le chaînage des propriétés, l'autorisation explicite et implicite, et peut être affecté par les autorisations sur les classes sécurisables qui contiennent l'entité sécurisable. Le processus général de l'algorithme consiste à collecter toutes les autorisations pertinentes. Si aucun blocage DENY n'est rencontré, l'algorithme recherche une instruction GRANT fournissant un accès suffisant. L'algorithme contient trois éléments essentiels : le contexte de sécurité, l'espace d'autorisation et l'autorisation requise.

Notes

Vous ne pouvez pas accorder, refuser ou révoquer des autorisations à sa, dbo, le propriétaire de l'entité (entity owner), information_schema, sys ou à vous-même.

  • Contexte de sécurité

    Il s'agit du groupe de principaux qui apporte les autorisations à la vérification d'accès. Ces autorisations sont liées à la connexion ou à l'utilisateur actif, à moins que le contexte de sécurité n'ait été modifié au profit d'une autre connexion ou d'un autre utilisateur par le biais de l'instruction EXECUTE AS. Le contexte de sécurité se compose des principaux suivants :

    • la connexion ;

    • l'utilisateur ;

    • les appartenances aux rôles ;

    • les appartenances aux groupes Windows ;

    • si la signature de module est utilisée, toute connexion ou compte d'utilisateur du certificat utilisé pour signer le module actuellement exécuté par l'utilisateur, ainsi que les appartenances aux rôles associées de ce principal.

  • Espace d'autorisation

    Correspond à l'entité sécurisable et aux classes sécurisables qui contiennent l'élément sécurisable. Par exemple, une table (entité sécurisable) est contenue par la classe sécurisable de schéma et par la classe sécurisable de base de données. L'accès peut être affecté par des autorisations de niveau table, schéma, base de données et serveur. Pour plus d'informations, consultez Hiérarchie des autorisations (moteur de base de données).

  • Autorisation requise

    Correspond au type d'autorisation requise. Il peut s'agir, par exemple, d'une autorisation INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, etc.

    L'accès peut nécessiter plusieurs autorisations, comme l'illustrent les exemples suivants :

    • Une procédure stockée peut nécessiter une autorisation EXECUTE sur la procédure stockée et une autorisation INSERT sur plusieurs tables référencées par la procédure stockée.

    • Une vue de gestion dynamique peut nécessiter à la fois une autorisation VIEW SERVER STATE et une autorisation SELECT sur la vue.

Étapes générales de l'algorithme

Au moment de déterminer si l'accès à un élément sécurisable doit être autorisé, l'algorithme peut suivre différentes étapes en fonction des principaux et des éléments sécurisables concernés. Cependant, l'algorithme exécute les étapes générales suivantes :

  1. Contournement de la procédure de vérification des autorisations si la connexion est membre du rôle serveur fixe sysadmin ou si l'utilisateur est l'utilisateur dbo dans la base de données active.

  2. Autorisation de l'accès si le chaînage des propriétés est applicable et si la vérification de l'accès sur l'objet plus tôt dans la chaîne a passé avec succès le contrôle de sécurité. Pour plus d'informations sur le chaînage des propriétés, consultez Chaînes de propriétés.

  3. Agrégation des identités de niveau serveur, base de données et du module signé qui sont associées à l'appelant pour créer le contexte de sécurité.

  4. Pour ce contexte de sécurité, collecte de toutes les autorisations accordées ou refusées pour l'espace d'autorisation. L'autorisation peut être explicitement déclarée comme une autorisation GRANT, GRANT WITH GRANT ou DENY ; les autorisations peuvent également correspondre à une autorisation implicite ou couvrante GRANT ou DENY. Par exemple, l'autorisation CONTROL sur un schéma implique une autorisation CONTROL sur une table. Et une autorisation CONTROL sur une table implique une autorisation SELECT. Par conséquent, si l'autorisation CONTROL a été accordée sur le schéma, l'autorisation SELECT l'est également sur la table. Si l'autorisation CONTROL a été refusée sur la table, l'autorisation SELECT l'est tout autant sur la table. Pour plus d'informations, consultez Autorisations couvrantes/implicites (moteur de base de données).

    Notes

    Une instruction GRANT associée à une autorisation au niveau colonne se substitue à une instruction DENY au niveau objet.

  5. Identification de l'autorisation requise.

  6. Échec de la vérification des autorisations si l'autorisation requise est directement ou implicitement refusée à l'une des identités dans le contexte de sécurité pour les objets contenus dans l'espace d'autorisation.

  7. Succès de la vérification des autorisations si l'autorisation requise n'a pas été refusée et si l'autorisation requise contient une autorisation GRANT ou GRANT WITH GRANT directement ou implicitement accordée à l'une des identités dans le contexte de sécurité pour un objet contenu dans l'espace d'autorisation.

Exemples

Les exemples suivants montrent comment récupérer des informations relatives aux autorisations.

A. Retour de la liste complète des autorisations accordables

L'instruction suivante retourne toutes les autorisations du Moteur de base de données à l'aide de la fonction fn_builtin_permissions. Pour plus d'informations, consultezsys.fn_builtin_permissions (Transact-SQL).

SELECT * FROM fn_builtin_permissions(default);
GO

B. Retour des autorisations sur une classe d'objets particulière

Vous pouvez également utiliser la fonction fn_builtin_permissions pour consulter toutes les autorisations disponibles pour une catégorie d'élément sécurisable donnée. L'exemple suivant retourne les autorisations sur les assemblys.

SELECT * FROM fn_builtin_permissions('assembly');
GO  

C. Retour des autorisations accordées au principal en cours d'exécution sur un objet

Vous pouvez utiliser fn_my_permissions pour retourner la liste des autorisations effectives détenues par le principal appelant sur un élément sécurisable spécifié. Pour plus d'informations, consultez sys.fn_my_permissions (Transact-SQL). L'exemple suivant retourne les autorisations sur un objet nommé Orders55.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Retour des autorisations applicables à un objet spécifié

L'exemple suivant retourne les autorisations applicables à un objet nommé Yttrium. Notez que la fonction intégrée OBJECT_ID est utilisée pour récupérer l'identificateur de l'objet Yttrium.

SELECT * FROM sys.database_permissions 
    WHERE major_id = OBJECT_ID('Yttrium');
GO